SSi-Conseil Sécurité des Systèmes d'Information
Accueil SSi-Conseil
Accès privilégié
SSI-Conseil
>Enjeux & Risques
Enjeux de la SSI
Risques
>Consulting Sécurité
Démarche Sécurité
Schéma Directeur SSI
Management SSI
Gestion opérationnelle
Communication SSI
>Gestion de Risques
Risk Management
>ISO 27000
ISO 27000
>Continuité d'Activité
Continuité d'Activité
>Services & Assistance
Assistance / Conseil SSi
TPE PME/PMI
>Formation
Formations
>Plus
Liens utiles
Auto-diagnostic SSi
Alertes Virus
Outils gratuits en ligne
Recherche avancée
Download zone
Legal crédits & ©
Glossaire
Plan du Site
>Partenaires
Ysosecure
Janua
Groupe-Stédia
BCP-Expert
Syndicate
Jeudi 17 Avril 2014
Advertisement
Aspects Normatifs : La norme ISO/IEC 27005 Convertir en PDF Version imprimable Suggérer par mail
11-03-2009
L'ISO/CEI 27005:2008 a été publiée le 4 juin 2008. Cette norme n'est pas une méthode d'analyse des risques liés au traitement de l'information) (*). Elle constitue une norme de gestion des risques liés à l'information.
C'est un guide pour la mise en œuvre de la gestion des risques de la sécurité de l'information. La démarche proposée est structurée en sous-processus / activités.
Elle propose un processus d'appréciation, d'analyse et de traitement des risques aligné sur la démarche d'amélioration continue de la sécurité des informations proposée par l'ISO/IECI 27001 structurée en 4 grandes étapes :
  1. l'établissement du contexte,
  2. l'appréciation du risque qui comprend son analyse et  son évaluation en fonction des enjeux de l'entreprise,
  3. le traitement du risque,
  4. l'acceptation du risque après traitement.
Ces quatre étapes sont accompagnées de deux autres tâches qui sont :
  1. la communication au sein de l'entreprise et
  2. la supervision et la revue continue du risque.
Il est possible de revenir sur les étapes précédentes si l'appréciation du risque est insatisfaisante ou si le traitement du risque n'est pas satisfaisant.

ISO/IEC 27005

Ce processus est conforme aux principes d'amélioration continue appliqués à la gestion des risques liés à l'information  (PDCA) :
Planifier (Plan)  :
  • Etablissement du contexte
  • Appréciation des risques
  • Développement du plan de traitement des risques
  • Acceptation des risques résiduels après traitement
Faire (Do)  :
  • Implémenter le plan de traitement des risques
Piloter (Check) :
  • Supervision continue et revue continue des risques
Améliorer (Act) :
  • Maintenir et améliorer le processus de gestion des risques

La norme détaille chacune des étapes et "zoome" sur le processus de décision du traitement des risques :
La stratégie de traitement des risques visera  ainsi à choisir entre les 4 scénarios suivants :

traitement des risques


Évitement du risque
 Soit on décide de ne rien faire car l'attaque et donc la menace est jugée improbable, et l'entreprise se dit prète à assumer les conséquences (impact) d'un sinistre
Soit on décide de renoncer à l'activité source du risque ou à l'application concernée, en acceptant un manque à gagner que l'on considère moindre que le risque lui-même.
Transfert du risque
 C'est le cas d'un contrat d'assurance qui assume une partie du risque à la place de l'entreprise ou le cas de la sous-traitance d'une fonction à un prestataire
 Réduction du risque Par la mise en place de mesures de sécurité, techniques ou organisationnelles, permettant de combler les vulnérabilités; mais aussi par la dissuasion ou une bonne communication externe comme interne.
Conservation du risque  L'impact est considéré comme tolérable face au coût des mesures de sécurité à mettre en face.


Ce qu'il faut retenir :

La norme ne propose pas de référentiels exhaustif ni de métriques comme on peut en trouver dans les méthodes EBIOS ou MEHARI. Dans la pratique, il conviendra d'adopter cette norme en utilisant les référentiels EBIOS ou MEHARI.
Les annexes (A à E) fournissent des indications concernant :
  • L'établissement du contexte,
  • L'identification et la valorisation des actifs,
  • Des listes de menaces (exemples),
  • Des listes de vulnérabilités (exemples) et des méthodes d'évaluation de ces vulnérabilités,
  • Une approche de l'évaluation des risques (Impact / Probabilité) avec une classification sur une échelle à trois niveaux (low, medium, high), qui n'est pas sans rappeler les préconisations du NIST 800-53 par exemple. (remarque: pour notre part nous préférons un système d'échelle paire (4 niveaux suffisent) sinon médium devient très vite un candidat unique)...

L'apport essentiel de cette norme reste son inscription, dans un processus de gestion continue du risque, à l'intérieur d'un processus de gestion continue de la sécurité comme ISO/IEC 27001.

(*) ISO 27005 est un cadre pour toutes les méthodes de gestion des risques SSI : elle énonce des lignes directrices. « La présente Norme internationale ne fournit aucune méthodologie spécifique à la gestion de risque en sécurité de l’information. […] Plusieurs méthodologies existantes peuvent être utilisées en cohérence avec le cadre décrit dans la présente Norme internationale pour appliquer les exigences du SMSI » [ISO 27005]





Dernière mise à jour : ( 21-01-2013 )
Suivant >
Copyright 2005-2014 SSi-Conseil
Mambo Free Software released under the GNU/GPL License.